Курс лекций Защита Информации/Идентификация и аутентификация

Шаблон:Курс лекций Защита Информации/Текст с двух сторон Основное назначение подсистемы идентификации и аутентификации заключается в установлении в рамках текущего сеанса соответствия между [[../Основные понятия и определения#Пользователь АС|пользователем]] и [[../Основные понятия и определения#Субъект доступа|субъектом]] (субъектами) в [[../Основные понятия и определения#Автоматизированная система (АС)|АС]] с последующей их активизацией.

Идентификация заключается в предъявлении признака ([[../Основные понятия и определения#Идентификатор доступа|идентификатора]]) который используется для различения пользователей системы. Необходимо отметить, что одному пользователю может быть доступно более одного идентификатора, но в рамках сеанса может использоваться только один. Если пользователю по каким-то причинам необходимо сменить идентификатор, он должен закончить текущий сеанс и начать новый.

Процедура подтверждения прав на использование идентификатора называется аутентификация. В более узком смысле под аутентификацией понимается проверка принадлежности пользователя, предъявленного им идендификатора.

Рассмотрим формальную процедуру аутентификации пользователей [[../Основные понятия и определения#Автоматизированная система (АС)|АС]]. Учитывая, что пользователь [[../Основные понятия и определения#Автоматизированная система (АС)|АС]] только опосредованно работает с [[../Основные понятия и определения#Объект доступа|объектами]] [[../Основные понятия и определения#Автоматизированная система (АС)|АС]], постулируем наличие как минимум двух аутентифицирующих пользователя объекта:

• внешнего аутентифицирующего объекта, не принадлежащего [[../Основные понятия и определения#Автоматизированная система (АС)|АС]];
• внутреннего, принадлежащего [[../Основные понятия и определения#Автоматизированная система (АС)|АС]], в который переносится информация из внешнего объекта.

Будем предполагать, что внешние и внутренние аутентифицирующие объекты семантически тождественны, т.е. могут быть путем детерминированной процедуры приведены к тождественному виду в виде слов в одном языке. Кроме того, полагаем наличие субъекта переноса информации от внешнего к внутреннему объекту, например, драйвер клавиатуры. Опираясь на допущение о тождестве внешнего и внутреннего объекта, далее будем рассматривать только внутренние, после переноса информации извне [[../Основные понятия и определения#Автоматизированная система (АС)|АС]].

Поскольку предполагается выполнение процедур как идентификации, так и аутентификации, предположим, что ${\displaystyle i}$-ый аутентифицирующий объект содержит два информационных поля:

• ${\displaystyle I{D}_i}$ — неизменяемый идентификатор ${\displaystyle i}$-го пользователя, который является аналогом имени и используется для идентификации пользователя;
• ${\displaystyle K_i}$ — аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации.

В [[../Основные понятия и определения#Автоматизированная система (АС)|АС]] выделяется объект следующей структуры — эталон для идентификации и аутентификации. Предположим, что в системе зарегистрировано ${\displaystyle n}$ пользователей.

№	Информация для идентификации	Информация для аутентификации
1	${\displaystyle I{D}_1}$	${\displaystyle E_1}$
2	${\displaystyle I{D}_2}$	${\displaystyle E_2}$
...	...	...
n	${\displaystyle I{D}_n}$	${\displaystyle E_n}$

где ${\displaystyle E_i=F(I{D}_i,K_i)}$, а ${\displaystyle F}$ — односторонняя функция, для которой невозможно алгоритмически эффективно восстановить ${\displaystyle K_i}$ по ${\displaystyle E_i}$ и ${\displaystyle I{D}_i}$. Например, хеш-функция.

Односторонние свойства функции ${\displaystyle F}$, т.е. невостановимость ${\displaystyle K_i}$ описывается некоторой пороговой трудоемкостью ${\displaystyle T_0}$ решения задачи восстановления аутентифицирующей информации об ${\displaystyle E_i}$ и ${\displaystyle I{D}_i}$, ниже которой не должна опускаться ни одна оценка трудоемкости нахождения ${\displaystyle K_i}$ для всех известных алгоритмов решения данной задачи.

Кроме того, для пары ${\displaystyle K_i}$ и ${\displaystyle K_j}$ теоретически возможно совпадение существующих значений ${\displaystyle E}$, т.е. коллизии

${\displaystyle E=F(I{D}_i,K_i)=F(I{D}_i,K_j)}$

В связи с этим вводится вероятность ложной идентификации пользователя, которая вычисляется как условная вероятность события:

Cовпадение

${\displaystyle E_i=F(I{D}_i,K_i)}$

и

${\displaystyle E_j=F(I{D}_i,K_j)}$

при условии

${\displaystyle K_i\ne K_j}$

.

Эта вероятность не должна превосходить некоторой предельной величины ${\displaystyle P_0}$.

1. Пользователь ${\displaystyle i}$ предъявляет свой идентификатор ${\displaystyle I{D}_i}$.
2. Если ${\displaystyle I{D}_i}$ не совпадает ни с одним ${\displaystyle ID}$, зарегистрированных в [[../Основные понятия и определения#Автоматизированная система (АС)|АС]], то идентификация отвергается — пользователь не допущен к работе (в смысле того, что он не может инициировать ни один субъект).
3. Иначе существует ${\displaystyle I{D}_i=ID}$, устанавливается факт:

   Пользователь, назвавшийся пользователем

   ${\displaystyle i}$

   , прошел идентификацию.

4. У пользователя с субъектом аутентификации запрашивается аутентификатор ${\displaystyle K}$.
5. Субъектом аутентификации вычисляется ${\displaystyle Y=F(I{D}_i,K)}$.
6. Субъектом аутентификации производится сравнение ${\displaystyle E_i}$ и ${\displaystyle Y}$. При совпадении фиксируется событие:

   Пользователь успешно аутентифицирован в [[../Основные понятия и определения#Автоматизированная система (АС)|АС]].

7. Информация о пользователе передается в [[../Формальная модель нарушителя#Монитор безопасности потоков (монитор обращений)|МБО]], считываются необходимые для реализации принятой политики безопасности массива данных.
8. В противном случае аутентификация отвергается — пользователь не допущен к работе.

Под таблицей разграничения прав доступа понимают таблицу, столбцами (строками) которой является ${\displaystyle l}$ субъектов, строками (столбцами) ${\displaystyle k}$ объектов, а на их пересечении ${\displaystyle r}$ прав доступа.

Возможная реализация ТРПД простым перечислением прав доступа. В таком случае, оценка сверху на количество операций по поиску права доступа по объекту и субъекту есть ${\displaystyle n=l\times k\times r}$, что является достаточно трудоемким.

Реализация таблицей имеет вид

	${\displaystyle O_1}$	${\displaystyle O_2}$	...	${\displaystyle O_k}$
${\displaystyle S_1}$
${\displaystyle S_2}$		${\displaystyle r_{22}}$
...
${\displaystyle S_l}$

Оценка трудоемкости в случае наличия элемента в таблице есть ${\displaystyle \frac{n}{2}}$, а в случае его отсутствия — ${\displaystyle n}$. Недостаток такого способа организации ТРПД также состоит в трудоемкости поиска права доступа. Кроме того, оценка трудоемкости будет расти при удалении строк, так как столбцы остаются и не смещаются.

В случае организации ТРПД связанным списком оценка трудоемкости постоянна

${\displaystyle const=\frac{l+k}{2}}$

Кроме того, возможен поиск в последовательном режиме, например, сначала по ${\displaystyle O}$, а затем по ${\displaystyle S}$. Дисковое пространство используется более рационально. Шаблон:Курс лекций Защита Информации/Текст с двух сторон

Шаблон:BookCat